Hackers invadem contas de telegrama e e-mail com ataque SS7
Ao atacar o protocolo SS7, os hackers podem interceptar mensagens de texto e chamadas do destinatário real.
Os hackers que tiveram acesso ao sistema OKS-7 (SS7) usado para configurar redes móveis em todo o mundo conseguiram acessar contas do Telegram e contas de e-mail de personalidades conhecidas no negócio de criptomoedas, de acordo com a Bleeping Computer.
Os hackers tentaram obter códigos de autenticação de dois fatores (2FA) por meio de uma vulnerabilidade no sistema de mensagens SMS da operadora de celular da vítima.
Os hackers do SS7 podem interceptar as mensagens de texto e chamadas do destinatário real, atualizando a localização do dispositivo como se estivesse registrado em uma rede diferente.
O ataque ocorreu em setembro e teve como alvo pelo menos 20 assinantes da operadora móvel israelense Partner Communications (anteriormente conhecida como Orange Israel), todos envolvidos em projetos de criptomoeda de alto nível .
Tzachi Ganot, cofundador da Pandora Security em Tel Aviv, que investigou o incidente e ajudou as vítimas a recuperar o acesso às suas contas, disse ao BleepingComputer que todas as evidências apontam para um ataque SS7.
A Pandora Security é especializada na criação de ambientes digitais seguros e fornece tecnologia cibernética e serviços para indivíduos de alto nível, como figuras proeminentes de negócios e celebridades. Segundo Ganot, entre os clientes estão algumas das pessoas mais ricas do mundo.
Ganot relatou que os hackers provavelmente falsificaram o SMS Service Center (SMSC) de uma operadora de rede móvel (não foi possível determinar qual) para enviar uma solicitação de atualização de localização para os números de telefone do Parceiro nos quais eles estavam interessados.
A solicitação de atualização basicamente exigia que o Parceiro enviasse todas as chamadas de voz e mensagens SMS destinadas ao destinatário real para o MSC falso.
Imagem: Cellusys via BleepingComputer
Ganot diz que os atacantes estudaram as contas de suas vítimas e as senhas vazadas para eles. Eles conheciam números de assinantes internacionais únicos (MSISDN – International Subscriber Directory Number para estações móveis) e números de Identidade de Assinante Móvel Internacional (IMSI ).
Os ataques SS7, embora mais comuns nos últimos anos, não são fáceis de realizar, pois exigem um bom conhecimento do interfuncionamento da rede móvel doméstica e do roteamento de comunicação em nível global.
Nesse caso, o objetivo dos hackers era obter a criptomoeda. Ganot acredita que algumas das caixas de correio comprometidas dessa forma funcionaram como um método de backup para outras contas de e-mail com informações mais valiosas, permitindo o acesso do invasor.
“Em alguns casos, os hackers se fizeram passar por vítimas hackeando suas contas do Telegram e escrevendo para alguns contatos pedindo-lhes para trocar BTC por ETC e similares." – Tzachi Ganot
Esse golpe é bem conhecido na comunidade de criptomoedas e os usuários geralmente desconfiam de tais solicitações. Ganot diz que "até onde sabemos, ninguém caiu na isca".
Embora o envio de códigos de verificação por SMS não seja sem razão considerado inseguro, muitos serviços, incluindo o Telegram, ainda dependem dessa prática, colocando os usuários em risco.
Existem métodos de autenticação melhores hoje do que SMS ou autenticação baseada em chamada. As soluções incluem aplicativos criados especificamente para essa finalidade ou chaves físicas, disse Ganot. Os padrões de telecomunicações devem se afastar dos protocolos legados, como o SS7 (desenvolvido em 1975), que não são mais capazes de resolver os problemas atuais.
O jornal israelense Haaretz publicou detalhes do ataque no início deste mês, alegando que a Agência Nacional de Inteligência de Israel (Mossad) e o Diretório Nacional de Cibersegurança do país estavam envolvidos na investigação.
A publicação também observa que Ganot e seu parceiro (os fundadores da Pandora Security) trabalharam para o NSO por vários anos .